Cryptolocker und Co.

15. April 2014 16:22; Akt: 15.04.2014 16:22 Print

So hat der Erpresser-Virus keine Chance

Schädliche Software, die Nutzer erpresst, ist auf dem Vormarsch. Doch wie kann man sich schützen – und wer steckt hinter den Attacken? 20 Minuten klärt die wichtigsten Fragen.

storybild

Der Cryptolocker-Virus verschüsselt die Daten auf dem PC und erpresst die Opfer danach zur Bezahlung einer «Freischaltgebühr».

Zum Thema
Fehler gesehen?

Wie kommt die erpresserische Schadsoftware auf meinen Rechner?

Im Falle des Cryptolockers sind der Melde- und Analysestelle Informationssicherung (Melani) drei mögliche Wege bekannt: Einerseits verbreitet sich der Virus über verseuchte E-Mail-Anhänge. Ein weiteres Einfalltor sind andere Trojaner oder Viren, die bereits auf dem heimischen PC nisten und zu einem späteren Zeitpunkt den Cryptolocker herunterladen. Besonders heimtückisch ist die Verbreitungsmethode über sogenannte Drive by Downloads. «Dabei genügt schon das Aufrufen einer dieser präparierten Websites, die dann im Hintergrund den Schädling auf dem Computer installieren», sagt Max Klaus, stellvertretender Leiter von Melani. Für diese Methode werden meist Sicherheitslücken in Browsern ausgenutzt.

Wie kann ich mich schützen?

Grundsätzlich gilt es, die Antiviren-Software immer auf dem neusten Stand zu halten, System- und Softwareupdates umgehend zu installieren und die Firewall zu aktivieren. Um sich vor dem versehentlichen Besuch von sogenannten Drive-by-Download-Websites zu schützen kann in den Einstellungen des Browsers Java und Java Script deaktiviert werden. «Das kann aber zu Unbequemlichkeiten führen, da viele vertrauenswürdige Websites ebenfalls darauf aufbauen und diese dann eventuell nicht mehr richtig angezeigt werden», sagt Klaus.

Präventiv sollten Daten auf dem eigenen Computer regelmässig extern gesichert werden. Nach dem Backup sollte das Speichermedium aber wieder ausgestöpselt werden. Denn: Bei einem Befall mit Cryptolocker könnte der Virus auch dort die Daten verschlüsseln.

Wer sind die Täter und wo stecken diese?

Herauszufinden, wer hinter den Attacken steckt, ist schwierig. Bei der Analyse von Viren wie dem Cryptolocker sehen die Behörden zwar, wo die entsprechenden Server stehen, über die zum Beispiel die verseuchten E-Mails laufen. Doch: «Der Standort der Server alleine ist nicht gleichbedeutend mit dem Standort der Täter», sagt Klaus. Diese könnten ihre Spuren im Internet sehr gut verwischen, was die Ermittlungen sehr zeitaufwändig macht.

Können die Täter nicht anhand der Geldspur gefunden werden?

Es gibt immer wieder Opfer, die den Forderungen der Täter nachgeben und bezahlen, in der Hoffnung wieder an ihre Daten zu kommen. Doch auch dieser Spur zu Folgen sei schwierig, so Klaus. «Die Zahlungen werden nicht per E-Banking abgewickelt. Meist kommen andere Bezahldienste wie Ukash oder Western Union zum Einsatz». Bei Western Union zum Beispiel kann man Geld nur unter Angabe eines zuvor definierten Passworts ins Ausland überweisen. So können die Täter, ohne einen Ausweis vorzuzeigen, das erpresste Geld abholen.

Was soll ich tun, wenn ich betroffen bin?

Sind die Daten erst einmal durch Cryptolocker verschlüsselt, gibt es eigentlich kein zurück mehr. Von einer Zahlung des Betrags rät Melani ab. Denn eine Garantie, dass die Zahlung eine Freigabe der Daten bewirkt, hat man nicht. In den meisten Fällen bewirkt die Zahlung lediglich, dass das Portemonnaie der Betrüger dicker wird.

Einen Hoffnungsschimmer bietet eine sogenannte Bruteforce-Attacke auf den Virus. Dabei übergibt man eine verschlüsselte Datei einem speziellen Programm, etwa dem Ransomware-Decrypt von Sicherheitsanbieter Panda. Dieses versucht den geheimen Schlüssel zu finden und so die Daten zu entsperren. Da bei Cryptolock ein extrem langer Key zum Einsatz kommt, sind die Erfolgschancen allerdings verschwindend klein. Der Virus selbst kann allerdings von betroffener Hardware mit allen gängigen Antiviren-Programmen entfernt werden. Die Daten bleiben allerdings trotzdem verschlüsselt. Da hilft nur noch der Rückgriff auf das Backup.

Waren Sie auch schon von erpresserischer Schadsoftware wie dem Cryptolocker betroffen? Schildern Sie uns Ihre Erfahrung in einem Mail an feedback@20minuten.ch

(tob)

Die beliebtesten Leser-Kommentare

  • Viktor am 15.04.2014 17:31 Report Diesen Beitrag melden

    Viktor

    Hatte bis jetzt mit meinem Commodore 64 noch keine Probleme.

    einklappen einklappen
  • Jakob Horner am 15.04.2014 16:51 Report Diesen Beitrag melden

    Erpresser-Viren

    Mich wundert es, dass man beim heutigen Schwarzgeld- und Terroristenwahn Geld an nicht identifizierte Personen überweisen kann!

    einklappen einklappen
  • Toby Suter am 15.04.2014 16:43 Report Diesen Beitrag melden

    Empfehle Firefox mit "No Script" Plugin

    Damit werden nur aus Vertrauenswürdigen Seiten Java und Scripts ausgeführt. Besucht man eine Seite, z.b 20Min so muss man halt das erste mal die Seite zulassen. Danach funktioniert die Website wie immer.

    einklappen einklappen

Die neusten Leser-Kommentare

  • D. Müller am 16.04.2014 10:56 Report Diesen Beitrag melden

    Glück gehabt?

    Bei mir ist auch eine solche Meldung erschienen. Habe den LapTop SOFORT vom Strom gezogen und Akku raus. Bei mir hat es (noch) geholfen. Keine Ahnung von wo die Attacke kam. Vielleicht hilft es den Browser in einer Antivir Sandbox laufen zu lassen, da dann der Rest des Systems angeblich abgeschirmt bleibt, wie z.B. bei Avast.

  • Markus W. am 16.04.2014 10:43 Report Diesen Beitrag melden

    Frage an die Fachleute

    Kann sich dieser Virus auch installieren wenn ich als Benutzer keine Rechte habe Software zu installieren? Mein PC ist so eingerichtet, dass ich für eine Softwareinstallation immer ein Passwort eingeben muss. Könnte man somit solche Viren umgehen indem man sich als Benutzer keine Admin Rechte gibt?

    • Oliver Blaser am 16.04.2014 12:18 Report Diesen Beitrag melden

      Richtig so!

      Hallo, ich gratuliere -> So kann man seinen PC durchaus schützen! Insofern der "Administrator"-Account ein sicheres Passwort hat (oder deaktiviert ist)! Falls sie Win7 oder höher haben, sind sie so sicher!

    • Fu am 23.10.2014 16:45 via via Mobile Report Diesen Beitrag melden

      Falsch

      Nein sind sie nicht. Das stimmt überhaupt gar nicht. Denn diese Malware installiert sich nicht wie ein Virus, bei dem man zuerst das Kennwort eingeben muss oder auf einem Administrator Account ja drücken muss, sondern sie installiert sich über Sicherheitslücken im Browser. Da der Browser aber da man ihm bei der Installation AdministratorRechte gegeben hat, die gleichen Rechte wie der Administrator selber besetzt, jetzt so ein Vorgehen gar nichts. Die Malware installiert sich im Hintergrund unbemerkt ohne dass Man dazu aufgefordert wird ein Kennwort einzugeben, da Der Browser die Rechte besitzt

    einklappen einklappen
  • Alex Steiner am 16.04.2014 10:18 Report Diesen Beitrag melden

    Genial

    Nur kurz angemerkt will ich darauf hinweisen wie genial die Idee ist. Ein Einbrecher kommt mit einem riesen Tresor in dein Haus und wirft all deine Sachen in den Tresor. Er lässt den Tresor in deiner Wohnung stehen. Du musst ihm einen Geldbetrag geben um den Code zu bekommen. Dieser Geldbetrag ist so niedrig das es sich nicht lohnt einen Spezialisten kommen zu lassen um den Tresor zu kancken. Ein Verbrechen, klar - aber Genial.

  • Hans Vader am 16.04.2014 09:06 Report Diesen Beitrag melden

    Antivirenprogramme bringen nichts

    Die Empfehlung von Antivirenprigrammen sollte nicht so einfach erfolgen, denn das bringt nichts. Sinnvoll wäre es den eigenen Browser zu sichern. Adblock und NoScript gehören zu der Standartausrüstung, neben der Nutzung der Gehirns. Wer intelligent surft kann vieles vermeiden. Für Malware dieser Art gibt es beim YT-Channel Sempervideo einfache Anleitungen, wie man diesen selber wieder entfernen kann. Das sollte relativ gut und schnell gehen. Hierzu sei das Stichwort "Bundestrojaner" erwähnt

    • Thomas am 18.04.2014 14:34 Report Diesen Beitrag melden

      Nie ohne

      Wieso soll ein Antivirenprogramm nicht schützen? Eine gute Software scannt den download jeder Website die du mit deinem Browser anklickst, merkt also schon bevor der Virus sich auf dem PC installiert, dass einer da ist. Die Seite wird dann sofort geblockt und das installieren verhindert. Also: nie ohne Antivirus, und wenn möglich ein Gutes; aber das kostet halt....

    einklappen einklappen
  • Roland Kämpe am 16.04.2014 07:53 Report Diesen Beitrag melden

    NoScript

    Ich empfehle NoScript für Firefox. Dieses erlaubt dem Benutzer, selbst festzulegen, welche Webseiten Scripts ausführen dürfen und blockiert die Ausführung auf allen anderen und dünkt mir daher eine gute Alternative zum kompletten deaktivieren aller Scripts.

    • Roger F. am 04.12.2014 00:14 Report Diesen Beitrag melden

      gehackte Webseite

      Und wie sieht es aus wenn eine bekannte und so vertrauenswürdige Seite gehackt wurde, wo Du Scripts zulässt??? Ist einer Bekannten passiert, die die Webseite ihres Nagelstudios besuchte, und schwups hatte sie den BKA-Trojaner eingefangen der ihr den PC blockierte (diese Dinger lassen sich glücklicherweise noch einfach entfernen wenn man weiss wo sie sich einnisten). Schlussendlich hat sich dann herausgestellt, dass die Webseite dieses Nagelstudios gehackt und die Schadsoftware eingebunden wurde. Offenbar hatte die für die Webseite zuständige Person ein unsicheres Passwort gewählt.

    einklappen einklappen